ANDROID

[ANDROID][bsummary]

FACEBOOK

[FACEBOOK][twocolumns]

NOTÍCIAS

[NOTÍCIAS][bleft]

KALI LINUX

[KALI LINUX][grids]

PcapXray - Uma Ferramenta Forensics de Rede Para visualizar uma Captura de Pacotes offline como um Diagrama de Rede

PcapXray é uma ferramenta Forensics de Rede Para visualizar uma Captura de Pacotes offline como um Diagrama de Rede, incluindo a identificação do dispositivo, destaque importante comunicação e extração de arquivos. Objetivo de 

Especificação de Design PcapXray

:
Dado um arquivo de Pcap, trace um diagrama de rede que exiba hosts na rede, tráfego de rede, realce tráfego importante e tráfego de Tor, bem como tráfego potencial malicioso, incluindo dados envolvidos na comunicação. 

Problema:

  •  A investigação de um arquivo Pcap demora muito tempo devido a falha inicial para iniciar a investigação
  •  Enfrentado por todo investigador forense e qualquer pessoa que esteja analisando a rede
  •  Localização: Aqui

Solução: agilize o processo de investigação

  • Faça um diagrama de rede com os seguintes recursos a partir de um arquivo Pcap Destaques da ferramenta:
  • Diagrama de rede - Diagrama de rede resumo da rede completa
  • Em formação:
  • Tráfego com detalhes do servidor
  • Tor Traffic
  • Possível tráfego malicioso
  • Dados obtidos de pacotes no relatório - Dispositivo / Tráfego / Carga útil
  • Detalhes do dispositivo
Imagem da ferramenta:

PcapXray

PcapXray

Componentes:
  • Diagrama de rede
  • Detalhes e Análise de Dispositivo / Tráfego
  • Identificação do tráfego malicioso
  • Tor Traffic
  • GUI - um gui com opções para carregar o pcap e exibir o diagrama de rede

Bibliotecas Python usadas: - Todas essas bibliotecas são necessárias para a funcionalidade
  • Tkinter e TTK - Instale a partir de pip ou apt-get - Verifique se o Tkinter e o graphviz estão instalados (a maioria do Linux contém por padrão)
    • instale python-tk
    • instalar a gráfica
  • Tudo isso está incluído no arquivo requirements.txt
    • Scapy - rdpcap para ler os pacotes do arquivo pcap
    • Ipwhois - para obter informações de whois de ip
    • Netaddr - para verificar o tipo de informação IP
    • Pillow - biblioteca de processamento de imagem
    • Biblioteca de busca de dados de consenso temporal
    • pyGraphviz - gráfico da parcela
    • Networkx - gráfico da parcela
    • Matplotlib - gráfico da parcela

Desafios:
  • Impossibilidade da GUI do TK:
    • A decisão sobre a interface gráfica entre Django e TK, estabelecida em tk para uma interface local simples, mas a instabilidade do tk gui causou uma série de problemas
  • Gráfico Ploting:
    • Traçar um gráfico de rede apropriado que é legível a partir dos dados obtidos foi bastante esforço, usou bibliotecas diferentes para chegar a um.
  • Desempenho e tempo:
    • O desempenho e o tempo da aplicação total foram um grande desafio com a coleta de dados e geração de produção diferentes

Bugs conhecidos:
  •  Memória Hogging
    • Às vezes, o acúmulo de memória ocorre quando a RAM mais baixa está presente no sistema, pois os dados armazenados na memória do arquivo pcap são enormes
    • Deve ser corrigido movendo dados em um banco de dados do que a própria memória
  •  Condição da corrida
    • Devido ao mainloop do TK gui, outros fios podem sofrer uma condição de corrida
    • Deve ser corrigido, movendo-se para uma implementação de TK melhor estruturada ou GUI da Web
  •  Tk GUI Unstability:
    • Mesmo motivo acima
  •  Correção atual em raras ocasiões: se algum dos problemas acima ocorrer, a barra de progresso continua em execução e nenhuma saída é gerada, será necessário reiniciar o aplicativo.

Futuro:
  • Altere o banco de dados de JSON para sqlite ou banco de dados proeminente, devido ao acúmulo de memória
  • Alterar fronteira para web com base em Django
  • Tornar o aplicativo mais estável


0 comentários via Blogger
comentários via Facebook

Nenhum comentário :